V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
linkbg
V2EX  ›  宽带症候群

不使用运营商的 DNS 就不能上网,真是耍流氓阿!!

  •  1
     
  •   linkbg · 2017-04-22 12:14:31 +08:00 · 11316 次点击
    这是一个创建于 2798 天前的主题,其中的信息可能已经有所发展或是发生改变。

    福建移动。 竟然只能用它的 DNS 服务器。换成 114 的就不能上网, ping 都 ping 不通。 ping ip 是正常的。换了所有已知的公共 dns 没有一个可以上网的。

    修改公共的 dns ,没有报错,没有任何的提示。倒是运营商的有一句提示:

    daemon.warn dnsmasq[5071]: nameserver 211.138.151.161 refused to do a recursive query
    

    怎么才能改呢?自建 dns 呢?但是又考虑,国外 dns 解析,把网易云音乐给解析到香港了。蒙蔽!!

    42 条回复    2017-04-25 18:04:01 +08:00
    shoaly
        1
    shoaly  
       2017-04-22 12:20:53 +08:00
    一个翻墙软件 都支持远端解析 dns
    izhaohui
        2
    izhaohui  
       2017-04-22 12:21:20 +08:00 via Android
    运营商的很多 dns 只响应来自此运营商得查询请求,联通的 116 也是。不能在各种云上搭 dns server 使用这些 dns 做上游。只能搭在运营商网络下。
    xujif
        3
    xujif  
       2017-04-22 12:22:16 +08:00
    走非 53 端口不就好了,或者 tcp
    xxxbi
        4
    xxxbi  
       2017-04-22 12:22:44 +08:00 via iPhone
    @izhaohui 胡说八道
    21grams
        5
    21grams  
       2017-04-22 12:24:22 +08:00
    这么流氓? 把 53 端口给封了?
    izhaohui
        6
    izhaohui  
       2017-04-22 12:27:14 +08:00 via Android
    @xxxbi 至少我验证过 116 ,你这番胡说就否定了我,厉害👍
    linkbg
        7
    linkbg  
    OP
       2017-04-22 12:31:56 +08:00
    @shoaly 远端解析,已经实现了,但是像网易云音乐这个东西,居然解析到香港的 ip 。就用不了。
    @izhaohui 的确是这样的。
    @21grams 非常流氓。
    jasontse
        8
    jasontse  
       2017-04-22 12:55:16 +08:00 via iPad
    @xxxbi 不知道别瞎扯淡,电联绝大部分都会给自己省的 DNS 部署 BCP38 防火墙不让外省查询以降低 DNS 放大攻击。
    Humorce
        9
    Humorce  
       2017-04-22 12:58:39 +08:00 via Android
    dnsmasq 配置网易云用运营商 dns 解析
    izhaohui
        10
    izhaohui  
       2017-04-22 13:09:10 +08:00 via Android
    我尝试过搭在阿里云上,自编新版 dnsmasq 使用 add-subnet 参数启用 edns ,配合阿里 DNS ,再用一份 dns china list ,又套了一层 dnscrypt 开放给我的宽带用,基本解决了污染和 cdn ,但是感觉这么麻烦不如搭建在本地,后来就没用过了
    commoccoom
        11
    commoccoom  
       2017-04-22 13:39:10 +08:00
    工信部投诉试试。就说运营商强制客户使用其 dns 服务。
    shoaly
        12
    shoaly  
       2017-04-22 14:06:46 +08:00
    @linkbg 那是因为你服务器确实在香港吧, 找一个 国内的服务器的, 也就是反向入墙服务.... 现在也很火啊, 美国那些个莘莘学子都靠入墙服务 看优酷, 听音乐呢
    treo
        13
    treo  
       2017-04-22 14:10:38 +08:00
    看标题就知道是移动
    21grams
        14
    21grams  
       2017-04-22 14:14:29 +08:00 via Android
    我估计以后其他运营商都会这么搞,符合中央的精神。
    aru
        15
    aru  
       2017-04-22 14:18:15 +08:00
    yexm0
        16
    yexm0  
       2017-04-22 14:30:03 +08:00
    深圳联通把 8.8.8.8 8.8.4.4 114.114.114.114 也给劫持了.
    ScotGu
        17
    ScotGu  
       2017-04-22 14:33:01 +08:00
    运营商这么做只是为了方便调度,让资源尽量走内网。
    不过有一些运营商会劫持 UDP53 转到自己的 DNS 返回。
    也就是用户用任何 DNS 实际都是内部指定 DNS 返回结果。
    解决办法可以在自由网络 自建非 53 端口的 DNS 服务 ,本地使用某转发服务获取结果。
    可以使用 DNSmasq 搭建一个自定义转发 DNS 。
    KCheshireCat
        18
    KCheshireCat  
       2017-04-22 15:46:52 +08:00
    别的不说,浙江移动应该是对 udp53 端口无差别劫持了



    请求任意 IP 的 53 端口都会被劫持

    建议使用 tcp 查询或者 httpdns ,可以看我发帖记录。
    sbbeta
        19
    sbbeta  
       2017-04-22 16:08:27 +08:00 via Android
    @commoccoom 没用的,会叫你退网退费的!哈哈,移动就是屌
    d7101120120
        20
    d7101120120  
       2017-04-22 16:30:43 +08:00
    试试 Pcap DNSProxy
    xxxbi
        21
    xxxbi  
       2017-04-22 17:33:11 +08:00 via iPhone
    北京歌华实测任何 dns 都能用 联通 电信 移动都可以随便用
    xxxbi
        22
    xxxbi  
       2017-04-22 17:37:07 +08:00
    nslookup www.bing.com 114.114.114.114
    服务器: public1.114dns.com
    Address: 114.114.114.114

    非权威应答:
    名称: cn.a-0001.a-msedge.net
    Addresses: 202.89.233.103
    202.89.233.104
    Aliases: www.bing.com


    nslookup www.bing.com 219.141.136.10
    服务器: BJDX-DJT-DNSCACHE
    Address: 219.141.136.10

    非权威应答:
    名称: cn.a-0001.a-msedge.net
    Addresses: 202.89.233.103
    202.89.233.104
    Aliases: www.bing.com


    nslookup www.bing.com 202.106.0.20
    服务器: c2-shenlujie-ns2
    Address: 202.106.0.20

    非权威应答:
    名称: cn.a-0001.a-msedge.net
    Addresses: 202.89.233.103
    202.89.233.104
    Aliases: www.bing.com


    nslookup www.bing.com 8.8.8.8
    服务器: google-public-dns-a.google.com
    Address: 8.8.8.8

    非权威应答:
    名称: a-0001.a-msedge.net
    Addresses: 204.79.197.200
    13.107.21.200
    Aliases: www.bing.com
    www-bing-com.a-0001.a-msedge.net
    redsonic
        23
    redsonic  
       2017-04-22 18:16:53 +08:00
    @21grams 已经开始搞了,为了满足劫持后的可靠性,有些地方的 DNS 已经跑在 NFV 上面了,不强迫你们用 他们年终总结怎么写。
    @yexm0 对,攻击流量也劫持了, google 应该是哭还是笑。
    mytsing520
        24
    mytsing520  
       2017-04-22 19:32:58 +08:00
    @KCheshireCat 因为工作业务关系,和移动有一些业务交集。移动有个服务,叫网络优化,工作原理是在本省建立缓存服务器,在省级 DNS 上,主动建立相关域名的解析指向,在本省范围内,对指定域名发起请求,全部指向指定的解析结果,以完善网络质量优化。各省移动都给各自的 NOC 下达过相应的指标,每年要对多少网站完成网络优化的合作等等。

    至于 114 的劫持,实际上,你们 nslookup ip.dnspod.net 看到的结果,就是向权威 DNS 发起解析请求的服务器,你会发现,即便强制通过 114 或 4 个 8 向这个地址发起请求,返回的地址也一样,下面补张图就能说明一切:
    mytsing520
        25
    mytsing520  
       2017-04-22 19:36:41 +08:00

    再来张通过 TCP 方式的
    mytsing520
        26
    mytsing520  
       2017-04-22 19:38:37 +08:00
    @KCheshireCat 112.13.174.x 开头的是新浪自己在移动 IDC 部署的缓存服务器,加上网络优化,结果你懂的
    z99123
        27
    z99123  
       2017-04-23 00:37:20 +08:00
    @yexm0 深圳联通劫持这么多 DNS 这是干嘛呢
    liaoyaoheng
        28
    liaoyaoheng  
       2017-04-23 08:49:33 +08:00
    @xujif 如何强制走 TCP ,有什么能直接修改 win10 的方法?谢
    bclerdx
        29
    bclerdx  
       2017-04-23 14:39:21 +08:00
    @KCheshireCat 这个图我没有看出来浙江移动是怎么劫持 UDP 53 的?请详细说明一下,谢谢!
    bclerdx
        30
    bclerdx  
       2017-04-23 14:42:56 +08:00
    @xxxbi 请问北京歌华有线宽带的家庭宽带的拨号方式、网络架构和默认分配的 DNS 服务器是几个?分别是什么。谢谢!
    bclerdx
        31
    bclerdx  
       2017-04-23 14:47:57 +08:00
    @mytsing520 我艹,为什么通过浙江杭州电信 DNS 服务器和 114 的 DNS 服务器解析的 ip.dnspod.net 域名的对应 IP 是一样的呢?另外,您用宽带线路是哪个省的中国移动宽带呢?
    bclerdx
        32
    bclerdx  
       2017-04-23 14:48:36 +08:00
    @mytsing520 我怎么感觉移动是利用了类似 DNSMAQ 技术来实现 UDP 劫持的呢?
    KCheshireCat
        33
    KCheshireCat  
       2017-04-23 15:13:22 +08:00
    @bclerdx #29 很简单啊, 193.1.1.1 这个 ip 上没有 dns 服务,那这个 dns 响应是哪里来的呢?而且只要 9ms ,好奇的话你可查一下这个 ip 归属地在哪里
    bclerdx
        34
    bclerdx  
       2017-04-23 15:40:44 +08:00
    @KCheshireCat 你的意思是说如果浙江移动没有对 DNS 查询的 UPD 53 劫持的话,如果一个域名被一个没有 DNS 服务的 IP 去解析的话,应该是不会在 Answer Section 部分有解析出来相应的 IP 结果出来的,我理解的对么?否则的话,就是中国移动人为、且故意这么配置的。其目的是加速走内网处理,而减少对外网或跨网跨运营商的解析请求,从而减少跨网、跨运营商的流量结算费用?
    mytsing520
        35
    mytsing520  
       2017-04-23 15:43:31 +08:00
    @bclerdx http://www.114dns.com/node.html ,供参考
    另外,前段时间在 V2 上爆出来的移动内部客服培训材料的帖子,应该对回答你的问题有帮助
    xxxbi
        36
    xxxbi  
       2017-04-23 15:55:34 +08:00 via iPhone
    @bclerdx 211.99.143.33 58.30.131.33
    xxxbi
        37
    xxxbi  
       2017-04-23 16:03:02 +08:00
    @bclerdx dhcp 无需拨号,网络架构就是都走电信。
    bclerdx
        38
    bclerdx  
       2017-04-23 16:31:42 +08:00
    @xxxbi 那你入户的是同轴电缆?歌华给你的设备是什么名称?
    bclerdx
        39
    bclerdx  
       2017-04-23 16:31:58 +08:00
    @xxxbi 多谢了。
    blessme
        40
    blessme  
       2017-04-23 19:17:16 +08:00
    从标题看应该是移动的网。
    xvx
        41
    xvx  
       2017-04-24 11:24:49 +08:00 via Android
    我这里好像都直接反代了。
    用其他 DNS 得到的 IP 地址能 ping 通,但就是上不了,换成运营商自家的,得到的 IP 地址都是运营商旗下的 IP 。
    据我的观察,主要是两个 IP 地址,一个是北京的,一个是深圳的,运营商的 DNS 将所有网站都解析到这两个 IP 上。 HTTPS 的网站竟然都能正常上,没报任何证书错误。
    不知道是不是直接被反代了,所有网站流量都必须经过反代服务器过滤。
    想想都觉得可怕。
    njs02
        42
    njs02  
       2017-04-25 18:04:01 +08:00
    现在代理都不太好用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2704 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:19 · PVG 23:19 · LAX 07:19 · JFK 10:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.